Oracle Identity Role Intelligenceの管理 候補ロールの確認および発行 5 候補ロールの確認および発行 候補ロールの確認と変更、ファイルへのロールのエクスポート、Oracle Identity Governanceへのロールの発行、および発行済ロールとインポート済ロールの詳細の表示を行います。 この項には次の情報が含まれます: ロール・マイニングの候補ロールの表示 候補ロールの確認および調整 候補ロールの発行 ロール詳細の表示 5.1 ロール・マイニングの候補ロールの表示 ロール・マイニングの候補ロールを表示するには: 「タスクの管理」ページで、実行のために送信したロール・マイニング・タスクを検索します。 タスク・ステータスがタスクの完了を示している場合は、「候補ロールの表示」をクリックします。 ロール・マイニング・タスクの「結果」ページが表示されます。このページでは、上部の行にロール・マイニング・タスク実行のサマリーが表示されます。タスクが実行されたユーザーおよび権限の数と、識別された候補ロールの数が示されます。たとえば: <TASK_NAME> executed and found 10 Candidate Roles covering for 105 Users and 57 Entitlements このページでは、次のセクションに候補ロールに関する情報も表示されます: 候補ロール内訳グラフ: 候補ロールの内訳グラフに、各候補ロールによって選択された権限およびユーザーの数の重みを付けて示します。その結果、ロールによって選択された権限およびユーザーの数が多いロールは、内訳グラフのボックスが大きく表示されます。 候補ロール: ロールを確認、エクスポートまたは破棄するためのオプションを含む候補ロールのリストを表示します。候補ロールのリストは、ステータス別にグループ化されています。各行に表示されるオプションは、候補ロールのステータスに基づいています。オプションは、「ルール」、「ロールの確認」、「エクスポート」、「破棄」、「変更して発行」および「破棄を元に戻す」です。 結果のサマリー行でユーザーの数をクリックします。「<TASK_NAME>のユーザーと権限を確認」ページの「ユーザー」タブが開き、タスクが実行されたユーザーのリストが表示されます。 特定のユーザーがタスクに含まれているかどうかを確認する場合は、ユーザー名をフィルタして、ユーザーを検索します。これを行うには: 「検索」フィールドにユーザー・ログイン名またはユーザー表示名の全部または一部を入力し、[Enter]を押します。 オプションで、「権限」タブをクリックして、タスクに含まれる権限を確認します。それ以外の場合は、ページ上部にある「戻る」アイコンをクリックして、ロール・マイニング・タスクの「結果」ページに戻ります。 結果のサマリー行で権限の数をクリックします。「<TASK_NAME>のユーザーと権限を確認」ページの「権限」タブが開き、タスクが実行された権限のリストが表示されます。権限が関連付けられているアプリケーションが、リストの右側にリストされます。 特定の権限がタスクに含まれているかどうかを確認する場合は、権限をフィルタして、権限を検索します。これを行うには: 「権限」がデフォルトで選択されている状態で、検索フィールドに権限名の全部または一部を入力し、[Enter]を押します。 または、アプリケーションでフィルタする場合は、「アプリケーション」を選択します。 検索フィールドにアプリケーション名の全部または一部を入力し、[Enter]を押します。 オプションで、「ユーザー」タブをクリックして、タスクに含まれるユーザーを確認します。それ以外の場合は、ページ上部にある「戻る」アイコンをクリックして、ロール・マイニング・タスクの「結果」ページに戻ります。 「候補ロール内訳グラフ」セクションで、内訳グラフ内のロールにマウス・ポインタを置きます。ユーザーおよび権限の数を含むロールの詳細が表示されます(権限5、ユーザー11など)。 「候補ロール内訳グラフ」で、ロールをクリックします。候補ロールは、「候補ロール」セクションにリストされ、次のように分類されます: 確認開始済: 確認中に変更された候補ロール。変更には、候補ロールの名前の設定や、ロール分析の属性の構成などがあります。候補ロールの確認および調整の詳細は、「候補ロールの確認および調整」を参照してください。 確認未開始: 確認の一環として変更されていない候補ロール。 発行したロール: Oracle Identity Governanceに発行された候補ロール。 破棄したロール: 内訳グラフおよび候補ロールのリストから削除された候補ロール。 「候補ロール」セクションで、「確認開始済」がまだ展開されていない場合は展開します。 候補ロールごとに、次のいずれかをクリックできます: ルール: クリックすると、選択した候補ロールに関連付けられたユーザー割当てルールが表示されます。 確認を続行: クリックすると、「ロール分析」ページが開き、候補ロールの確認または変更を続行します。候補ロールの確認および調整の詳細は、「候補ロールの確認および調整」を参照してください。 「エクスポート」アイコン: クリックすると、ロール・データをCSVファイルにエクスポートします。これは、今後使用するために開いたり保存できます。ファイルの名前は、デフォルトでrole.csvです。ファイル名を変更してファイルをダウンロードできます。 ロールの破棄: クリックすると、候補ロールが削除されます。ロールは「破棄したロール」セクションに表示されます。ここで、ロールをエクスポートしたり、「破棄を元に戻す」をクリックして候補ロール・リストに戻すことができます。 「候補ロール」セクションで、「確認未開始」がまだ展開されていない場合は展開します。 各候補ロールについて、ロールをCSVファイルにエクスポートし、そのロールを破棄するオプションは、ステップ8で説明したものと同じです。「ロールの確認」をクリックすると、「候補ロールの確認と調整」ページが開き、エクスポートおよび発行する前に候補ロールを確認および変更できます。候補ロールの確認および調整の詳細は、「候補ロールの確認および調整」を参照してください。 「候補ロール」セクションで、「発行したロール」がまだ展開されていない場合は展開します。 候補ロールごとに、次のいずれかをクリックできます: 変更して発行: クリックすると、「候補ロールの確認と調整」ページが開き、候補ロールを変更してOracle Identity Governanceに再度発行できます。 「エクスポート」アイコン: クリックすると、ロール・データをCSVファイルにエクスポートします。これは、今後使用するために開いたり保存できます。ファイルの名前は、デフォルトでrole.csvです。ファイル名を変更してファイルをダウンロードできます。 「候補ロール」セクションで、「破棄したロール」がまだ展開されていない場合は展開します。 候補ロールごとに、次のいずれかのオプションをクリックできます: 「エクスポート」アイコン: クリックすると、ロール・データをCSVファイルにエクスポートします。これは、今後使用するために開いたり保存できます。ファイルの名前は、デフォルトでrole.csvです。ファイル名を変更してファイルをダウンロードできます。 破棄を元に戻す: クリックすると、内訳グラフおよび候補ロールのリストに候補ロールが戻ります。 5.2 候補ロールの確認および調整 候補ロールを確認して調整するには: ロール・マイニング・タスクの「結果」ページの「候補ロール」セクションで、「ロールの確認」または「確認を続行」をクリックします。「候補ロールの確認と調整」ページが表示されます。 候補ロールの名前を指定するには: 「候補ロールの確認と調整」ラベルの横にある「名前の設定」をクリックします。 「候補ロール名」フィールドに、候補ロールの名前を入力します。 「保存」をクリックします。 候補ロールの名前を設定するか、その他の変更を加えると、候補ロールは「確認開始済」カテゴリに移動し、ロール・マイニング・タスクの「結果」ページの「確認開始済」セクションに候補ロール名が表示されます。 また、候補ロールの名前を設定すると、「候補ロールの確認と調整」のタイトルが、指定した候補ロール名に変更されます。候補ロール名を変更する場合は、「名前の変更」をクリックし、新しい名前を指定して「保存」をクリックします。 「権限」水平バーには、ロール・マイニング・タスクに含まれる権限の合計数のうち、候補ロールに含まれる権限の数が表示されます。権限を表示するには、「表示」をクリックします。「CANDIDATE_ROLE_NAMEのユーザーと権限を確認」ページの「権限」タブが表示され、候補ロールに含まれる権限のリストが表示されます。権限をフィルタして確認できます。終了したら、「戻る」アイコンをクリックして「候補ロールの確認と調整」ページに戻ります。 「ユーザー」水平バーには、ロール・マイニング・タスクに含まれるユーザーの合計数のうち、候補ロールに含まれるユーザーの数が表示されます。ユーザーを表示するには、「表示」をクリックします。「CANDIDATE_ROLE_NAMEのユーザーと権限を確認」ページの「ユーザー」タブが表示され、候補ロールに含まれるユーザーのリストが表示されます。ユーザーをフィルタして確認できます。終了したら、「戻る」アイコンをクリックして「候補ロールの確認と調整」ページに戻ります。 「ロール分析」セクションには、構成に基づいて、候補ロールの上位3つの属性のパーセンテージが表示されます。たとえば、「最上位マネージャ」は、候補ロールに含まれるユーザーのうち、最上位のマネージャを表します。すべてのユーザーが1つの組織に属している場合、「最上位組織」には100パーセントが表示されます。ロール分析の属性を構成するには: 「ロール分析」セクションの右側にある「分析の属性の構成」アイコンをクリックします。「ロール分析グラフの構成」ダイアログ・ボックスが表示されます。 3、5または10のいずれかのオプションを選択すると、指定した属性の上位値の分析が表示されます。 分析を表示するユーザー属性を選択(最大3つまでサポート)で、分析を表示する属性を3つ選択します。 分析は最大3つの属性に対して表示でき、Oracle Identity Role Intelligenceでは3つを超える属性を選択できません。 「適用」をクリックします。選択した属性のロール分析が表示されます。 「ユーザー割当てルール」セクションで、候補ロールに関連付けられた割当てルールを表示できます。ルールを形成する基準が表示されます。ユーザー割当てルールに参加するユーザー属性は、ロール・マイニング・ジョブ・フィルタおよびuserMembershipRuleフラグが有効になっているユーザー属性から取得されます。有効な場合は、ユーザー・カスタム属性も含まれます。候補ロールのルールに一致するユーザーの数およびシステムのルールに一致するユーザーの数が表示されます。 このセクションでは、ルールを構成する属性条件を選択および選択解除し、ターゲット・システムのユーザー数に対する対応する影響を確認できます。有効な場合は、これにカスタム属性が含まれます。デフォルトでは、データ内にNULL値がある属性に対してチェック・ボックスの選択が解除されます。ルールへの変更を保存する場合は、「適用」、「保存」の順にクリックします。変更を保存すると、選択されていないユーザー属性はすべて削除され、ユーザー割当てルールは選択したユーザー属性でのみ更新されます。 「類似ロール」セクションで、システム内に存在する上位3つの類似ロールを確認します。類似度は、権限およびユーザーの50%パーセント以上の類似度によって決定されます。たとえば、候補ロールに含まれる権限とユーザーがそれぞれ27と13である場合、14の権限と7人のユーザーを持つロールは類似していると考えられます。 OIRIでは、データ・インポート・ジョブによって、OIGのアクセス・ポリシーに関連付けられているロールのみがOIGからインポートされます。OIRIでインポートされたこれらのロールは、ロールの類似度の計算にのみ使用されます。 類似ロール名をクリックします。「ロールの類似度」ページに、類似ロールの詳細が表示されます。または、「この目的で利用できる類似ロールをすべて表示」リンクをクリックして、すべての類似ロールの詳細が表示される「ロールの類似度」ページを開くこともできます。 「ロールの類似度」ページで、類似ロール名を展開して詳細を表示します。「権限」水平バーには、類似ロールの権限に類似した候補ロールの権限のパーセンテージが表示されます。同様に、「ユーザー」水平バーには、類似ロールのユーザーに類似した候補ロールのユーザーのパーセンテージが表示されます。 「権限」タブをクリックし、次のタイプの権限を表示します: 共通の権限: クリックすると、候補ロールと類似ロールに共通する権限が表示されます。 候補ロール内の権限のみ: クリックすると、候補ロールにのみ属する権限が表示されます。 SIMILAR_ROLE内の権限のみ: クリックすると、類似ロールにのみ属する権限が表示されます。ここで、SIMILAR_ROLEは、類似ロールの名前のプレースホルダです。 「ユーザー」タブをクリックし、次のタイプのユーザーを表示します: 共通のユーザー: クリックすると、候補ロールと類似ロールに共通するユーザーが表示されます。 候補ロール内のユーザーのみ: クリックすると、候補ロールにのみ属するユーザーが表示されます。 SIMILAR_ROLE内のユーザーのみ: クリックすると、類似ロールにのみ属するユーザーが表示されます。ここで、SIMILAR_ROLEは、類似ロールの名前のプレースホルダです。 「戻る」アイコンをクリックして「候補ロールの確認と調整」ページに戻ります。 「ユーザーに付与される権限」セクションで、ユーザーに付与される権限の数を確認します。たとえば、このセクションに9 of 27 Entitlements are gaining usersと表示されている場合、候補ロールの発行時に、現在これらの権限を持たないユーザーに9つの権限が割り当てられることを意味します。つまり、この候補ロールを発行すると、これらの9つの権限がユーザーに付与されます。 この行の下にある「ユーザーに付与される権限」セクションには、ユーザーに付与される権限、各権限が関連付けられているアプリケーション、および権限にアクセスできるユーザーの数も表示されます。 権限にアクセスできるユーザーを表示するには、「サマリー」列の新しいユーザーの数をクリックします。「ユーザーに付与される権限」ダイアログ・ボックスで権限にアクセスできるユーザーのリストが表示されます。「閉じる」をクリックします。 オプションで、候補ロールから権限を削除するには: 1つ以上の権限を選択し、「選択した権限の除外」をクリックします。「選択した権限」ダイアログ・ボックスが表示されます。 「削除と保存の確認」をクリックします。選択した権限は候補ロールから削除され、「ユーザーに付与される権限」セクションに「除外した権限の確認」リンクが表示されます。 または、削除しないをクリックして、選択した権限を候補ロールで保持します。 破棄された権限を候補ロールに戻す場合は、「除外した権限の確認」をクリックします。「除外した権限」ダイアログ・ボックスで、候補ロールに含める権限ごとに「リカバリ」をクリックし、「閉じる」をクリックします。 「権限を獲得するユーザー」セクションで、権限を獲得するユーザーの数を確認します。たとえば、このセクションに7 of 14 users are gaining entitlementsと表示されている場合、候補ロールの発行時に、7人のユーザーが新しい権限にアクセスできることを意味します。ユーザーの確認中に、ステップ10の説明と同様の方法で、ユーザーを除外およびリカバリできます。 候補ロールの確認および変更が完了したら、次をクリックします。「問題ないのでロールを発行」。これはページ上部にあります。Oracle Identity Governanceへの候補ロールの発行またはCSVファイルへのオフライン発行の詳細は、「候補ロールの発行」を参照してください。 オプションで、ページ上部にある「エクスポート」をクリックすると、ロール・データをCSVファイルにエクスポートします。これは、今後使用するために開いたり保存できます。ファイルの名前は、デフォルトでrole.csvです。ファイル名を変更してファイルをダウンロードできます。 5.3 候補ロールの発行 候補ロールを発行するには: 「候補ロールの確認と調整」ページで次をクリックします。「問題ないのでロールを発行」「ロールの発行」ダイアログ・ボックスが表示されます。 「候補ロール名」フィールドに、候補ロールの名前を入力します。これは必須フィールドです。 候補ロールの名前をすでに設定している場合、このセクションは表示されません。 「ユーザー割当てなしでロールを発行」オプションを選択して、権限割当てがある候補ロールのみを発行し、ユーザー割当てを除外します。 このオプションを選択しない場合、候補ロールに定義されているとおりに、ユーザー割当ておよび権限割当てがある候補ロールがデフォルトで発行されます。 「ロールをユーザー割当てルールとともに発行」オプションを選択して、ユーザー割当てルールとともに候補ロールを発行します。これにより、ルールとロールが発行されます。つまり、ルールの基準を満たすユーザーには、ロールが自動的に割り当てられます。有効な場合は、ルールにカスタム属性が含まれます。このデフォルト値は発行されないため、候補ロールを持つユーザー割当てルールを発行する場合は、これを選択する必要があります。 「オフラインでファイルへ」オプションを選択して、候補ロールをファイルに発行します。 このオプションを選択しない場合、候補ロールはデフォルトでOracle Identity Governanceに発行されます。 「発行の確認」をクリックします。ロールの発行をオンラインにするかオフラインにするかの選択に応じて、候補ロールはOracle Identity GovernanceまたはCSVファイルにそれぞれ発行されます。 「戻る」アイコンをクリックしてロール・マイニング・タスクの「結果」ページに移動し、「候補ロール」セクションまで下にスクロールします。新しく発行されたロールが「発行したロール」の下に表示されていることを確認します。 5.4 ロール詳細の表示 発行されたロールおよびインポートされたロールのロール詳細を表示できます。 この項には次の情報が含まれます: 発行されたロールの詳細の表示 インポートされたロールの詳細の表示 5.4.1 発行されたロールの詳細の表示 Oracle Identity Governanceに発行されたロールの詳細を表示するには: Identity Role Intelligenceホーム・ページで、「アプリケーション・ナビゲーション」メニュー・アイコンをクリックし、「発行したロール」をクリックします。または、ホーム・ページのすべてのタスクとロールを探索タイルで、「発行したロール」をクリックします。「発行したロール」ページに、オフラインおよびOracle Identity Governanceに発行されたロールの累積リストが表示されます。 確認する発行済ロールを検索します。これを行うには、「検索」フィールドにロール名の全部または一部を入力し、[Enter]を押します。 確認するロールをクリックします。または、右側の「ロールの表示」アイコンをクリックすることもできます。「ロールの詳細」ページが表示されます。 まだアクティブでない場合は、「ルール」アイコンをクリックします。 このセクションには、発行されたロールのユーザー割当てルールのロールの詳細が表示されます。 まだアクティブでない場合は、「情報」タブをクリックします。このタブには、ロール名、説明、ロール内のユーザー数、アプリケーション数、権限数などのロール情報が表示されます。 「ユーザー」タブをクリックします。 ロール内のユーザーのリストが表示されます。「検索」フィールドを使用して、特定のユーザーを検索できます。 「アプリケーション」タブをクリックします。ロール内のアプリケーションのリストが表示されます。 「権限」タブをクリックします。ロール内の権限および関連付けられたアプリケーションのリストが表示されます。権限名またはアプリケーション名によって権限をフィルタし、「検索」フィールドを使用して特定の権限を検索できます。 5.4.2 インポートされたロールの詳細の表示 フラット・ファイルからインポートされたロールの詳細を表示するには: Identity Role Intelligenceホーム・ページで、「アプリケーション・ナビゲーション」メニュー・アイコンをクリックし、「インポートしたロール」をクリックします。または、ホーム・ページのすべてのタスクとロールを探索タイルで、「インポートしたロール」をクリックします。「インポートしたロール」ページに、OIGおよびフラット・ファイルからインポートされたロールのリストが表示されます。データ・インポート・ジョブによって、OIGのアクセス・ポリシーに関連付けられているロールのみがOIGからインポートされます。各ロールに関連付けられたリスク・レベル(低、中、高など)がページの右側に表示されます。 確認するインポート済ロールを検索します。これを行うには、「検索」フィールドにロール名の全部または一部を入力し、[Enter]を押します。 確認するロールをクリックします。または、右側の「ロールの表示」アイコンをクリックすることもできます。「ロールの詳細」ページが表示されます。 まだアクティブでない場合は、「情報」タブをクリックします。 このタブには、ロール名、表示名、リスク・スコア、継承元、継承先などのロール情報が表示されます。 「ユーザー割当てルール」セクションには、インポートされたロールのユーザー割当てルールに関する情報が表示されます。 「ユーザー」タブをクリックします。 ロール内のユーザーのリストが表示されます。「検索」フィールドを使用して、特定のユーザーを検索できます。 「アプリケーション」タブをクリックします。 ロール内のアプリケーションのリストが表示されます。 「権限」タブをクリックします。 ロール内の権限および関連付けられたアプリケーションのリストが表示されます。権限名またはアプリケーション名によって権限をフィルタし、「検索」フィールドを使用して特定の権限を検索できます。